Возможно будет полезно, напишу способ как проверить дату последнего обновления антивирусных баз. Я использую для этого свой модуль, проверить можно следующей командой
Теневые копии это очень хорошая штука! Но с обязательной настройкой дисковых квот! Хочу предостеречь не полагайтесь на них всецело, если не понимаете как они работают!
Действительно вы правы. Просто я некорректно перевел и понял абзац из книги Active Directory, 5th edition
Group policy preferences work a bit differently than normal group policyies in terms
of their application. Namely, the settings are only applied during startup and logon.
Background refreshes of GPOs will not apply the preferences settings. Because of this,
preference settings are not enforced in the same way as normal policies. Users can often
work around or undo the changes that are made by group policy preferences.
GPP гибче и применяется чаще, чем пользователи перезагружают компьютеры/blockquote>
Если я не ошибаюсь Gpp применяются только во время старта компьютера и входа пользователя в систему. Фонового обновления gpp политик не происходит.
Все таки правильнее обрабатывать ошибки а не скрывать их. В вашем случае скрипт будет выдавать «нет пользователя» если произойдет любая ошибка в Get-LocalUser и он ничего не вернет. Использование try{}catch{}, более оправдано… Правильнее было бы
$user="admin"
try
{
Get-LocalUser $user -ErrorAction Stop
write-host пользователь $user есть -foregroundcolor Green
}
Catch
{
if ($_.FullyQualifiedErrorId -eq "UserNotFound,Microsoft.PowerShell.Commands.GetLocalUserCommand")
{
write-host "Пользователь $User не найден" -foregroundcolor Red
}
else
{
Write-Error $_
}
}
По умолчанию ваш скрипт будет работать только на windows server 2016 и windows 10 версии выше 1607, так как модуль Microsoft.PowerShell.LocalAccounts в котором содержится командлет Get-Localuser есть только на этих системах. Наверное для решения задачи лучше было попробовать использовать wmi.
Своевременное обновление системы является ключом к безопасности системы в целом!
Мне как админу проще раз в пару лет с готового образа за 30-40 мин накатить юзверю винду
Вам то может и проще, но как быть с файлами, которые, из за такого подхода возможно будут безвозвратно потеряны. Показателен пример с тем же Wannacry подавляющее большинство зараженных компьютеров было в России и Украине. Видимо в России все таки больше сторонников святого не апдейта…
Не всегда возможно выполнить 2 и 3 пункт. Установка в автоматическом режиме критических обновлений вполне жизнеспособный вариант для небольших организаций не имеющих в штате спеца по безопасности.
Вывод к безопасности нужно подходить комплексно. И один из обязательных пунктов — это установка обновлений. Регламент установки в разных организациях может быть разный. Нужно взвешивать все за и против когда принимается решение не обновляться вообще.
Для стабильности отключают обновления ВСЕГДА ВООБЩЕ. И БЕЗ ВАРИАНТОВ
Расскажите как вы пережили атаку вируса Wannacry? Если вам удалось пережить ее без последствий какие способы защиты вы применяли в вашей сети?
Так как ни один современный вирус не может ничего без интернета.
Ни один современный сотрудник, к сожалению, тоже не может ничего сделать без интернета. А также многие работают из дома через VPN, приносят свои ноутбуки и подключаются к корпоративной сети. Если такой сотрудник, имеющий зараженный ноутбук, подключится к вашей сети как вы думаете что произойдет тогда?
Модуль может работает без домена.
Нужно проверить следующее:
Настройки брандмауэра. Он должен пропускать протокол DCOM или WSMAN в зависимости от того какой будете использовать.
Настройки UAC. Тут два варианта либо выключить совсем (не рекомендую), либо настроить. Подробности можно почитать тут.
Использовать параметр Credential. Учетная запись, на компьютере с которого собираете информацию, должна обладать правами администратора системы. Для комфортного использования функции на всех компьютерах должна быть заведена админская учетка с одинаковым именем и паролем(пустые пароли недопустимы).
Zabbix это хорошая система мониторинга с кучей плюшек. Да действительно там можно получать информацию о системе с компов. Правда для этого нужно его развернуть и настроить. Установить агенты на рабочих станциях на всё это нужно время и квалифицированные специалисты. Мое решение скорее для повседневной работы, нежели для инвентаризации. Не требуется много времени. Достаточно установить модуль и уже в течении минуты можно получить нужные сведения о системе. Кроме этого если чего то модуль не умеет можно быстренько дописать нужный функционал.
Насколько я понял там требуется устанавливать агент. Мое решение не требует установки агента, используются только штатные средства windows. Результаты возвращаемые функцией представляют из себя объекты, поэтому, можно относительно легко, написать простую функцию для сохранения в БД.
Для windows могу порекомендовать установить два модуля
https://github.com/SAGSA/PostgresCmdlets
https://github.com/SAGSA/DbBackupControl
Скрипт для powershell в самом простом случае будет выглядеть так
#Делаем копию всех баз в каталог C:\SQLBakup
Get-PgDatabase | Backup-PgDatabase -Destination "C:\SQLBakup"
#Оставляем только 7 последних версий
Remove-DbBackup -Path "C:\SQLBakup" -KeepVersions 7
Возможно будет полезно, напишу способ как проверить дату последнего обновления антивирусных баз. Я использую для этого свой модуль, проверить можно следующей командой
Get-ADComputer -Filter * | Get-SystemInfo -Properties MseLastUpdateDate
Теневые копии это очень хорошая штука! Но с обязательной настройкой дисковых квот! Хочу предостеречь не полагайтесь на них всецело, если не понимаете как они работают!
Своевременное обновление системы является ключом к безопасности системы в целом!
Вам то может и проще, но как быть с файлами, которые, из за такого подхода возможно будут безвозвратно потеряны. Показателен пример с тем же Wannacry подавляющее большинство зараженных компьютеров было в России и Украине. Видимо в России все таки больше сторонников святого не апдейта…
Не всегда возможно выполнить 2 и 3 пункт. Установка в автоматическом режиме критических обновлений вполне жизнеспособный вариант для небольших организаций не имеющих в штате спеца по безопасности.
Вывод к безопасности нужно подходить комплексно. И один из обязательных пунктов — это установка обновлений. Регламент установки в разных организациях может быть разный. Нужно взвешивать все за и против когда принимается решение не обновляться вообще.
Полность с вами согласен. Не нужно обобщать и рекомендовать всем поголовно не ставить обновления вообще.
Расскажите как вы пережили атаку вируса Wannacry? Если вам удалось пережить ее без последствий какие способы защиты вы применяли в вашей сети?
Ни один современный сотрудник, к сожалению, тоже не может ничего сделать без интернета. А также многие работают из дома через VPN, приносят свои ноутбуки и подключаются к корпоративной сети. Если такой сотрудник, имеющий зараженный ноутбук, подключится к вашей сети как вы думаете что произойдет тогда?
Нужно проверить следующее:
OsCaption='-Class Win32_OperatingSystem… ' это всего лишь строчка из конфига функции.
Сама по себе она работать не будет.